La question de la souveraineté des données est au premier plan depuis la dénonciation, en octobre dernier, de l'accord Safe Harbor par la Cour de Justice de l’Union européenne (CJUE), l’instance juridique la plus élevée de l’UE. Et pour de nombreux utilisateurs de services de partage et de synchronisation de fichiers, la fin du Safe Harbor pose un problème important. Ce n’est pas le cas d’OwnCloud dont le CEO, Markus Rex, considère la fin de l’accord comme une opportunité. Sans doute parce que chez ce concurrent de Dropbox et de Google Drive, la synchronisation et le partage de fichiers sont gérés de façon un peu différente de ce que font la plupart des rivaux les plus connus. En particulier, OwnCloud ne fournit pas de stockage et laisse chacun libre d’utiliser la solution qu’il souhaite.

En fait, OwnCloud ne fournit que le logiciel qui permet aux utilisateurs d'accéder à leurs données via une interface web, des clients de synchronisation ou WebDAV. Le fournisseur gère uniquement la plate-forme qui permet aux utilisateurs de visualiser, de synchroniser et de partager facilement leurs fichiers, quel que soit le dispositif utilisé. Au final, la synchronisation et le partage se font en mode auto-hébergé, le service permettant essentiellement aux utilisateurs de garder le contrôle sur leurs données. Les autorisations, les listes de contrôle d'accès et les exigences de conformité sont respectées et peuvent être appliquées ou configurées au niveau du fichier, de l’entrepôt d'objets ou des utilisateurs. Ces derniers conservent un contrôle total sur leurs clés de chiffrement, qui restent indépendantes du stockage. « Nous sommes vraiment une couche d'abstraction », insiste Markus Rex. « L’utilisateur dispose d’un accès à tous ses fichiers sur site et hors site grâce à une interface facile à utiliser, et tout est sous le contrôle du DSI ».

Un logiciel open source qui peut être inspecté

Depuis longtemps, l’Europe a adopté des lois strictes en matière de protection des données. L'accord Safe Harbor devait permettre d’assurer une protection équivalente aux données européennes traitées aux États-Unis. Mais, la Cour de justice de l'Union européenne a jugé que cette protection était insuffisante et au mois d’octobre dernier, elle a dénoncé l’accord. Mais sans offrir d’alternatives aux nombreuses entreprises confrontées aux questions transfrontalières. En guise de réponse, des prestataires comme Dropbox ont décidé d’ouvrir des infrastructures de stockage sur le sol européen. OwnCloud n'a pas eu besoin de réfléchir à des propositions équivalentes, car son service ne comporte pas de stockage. « Notre offre est tout à fait explicite, puisqu’elle indique que l’utilisateur est propriétaire de son propre espace de stockage », a expliqué Markus Rex. « Les entreprises utilisent simplement notre logiciel derrière leurs propres pare-feu ».

Citrix ShareFile, Egnyte, Novell FILR et Syncplicity similaires

Parce que OwnCloud est open source, le logiciel est ouvert pour inspection, si nécessaire. « Le fait que OwnCloud est open source le met un peu à part, mais il n’est pas le seul à utiliser du stockage sur site comme référentiel pour la synchronisation et le partage des fichiers d'entreprise », fait remarquer Guy Creese, vice-président de la recherche chez Gartner. « ShareFile de Citrix, Egnyte, Novell FILR et Syncplicity offrent des capacités similaires », a-t-il ajouté. Ces services offrent des produits de classe entreprise depuis un certain temps déjà, donc « les utilisateurs ont pu depuis longtemps passer au crible tous les cas de figure », a souligné Rob Enderle, analyste principal pour l’Enderle Group. « Le prix est un peu plus élevé, mais vous avez beaucoup plus de contrôle », explique encore l’analyste. « Et quand on parle de données sensibles ou réglementées, ce contrôle devient obligatoire ».

« Depuis la dénonciation de l’accord Safe Harbor en octobre, le nombre de demandes reçues par OwnCloud n’a pas cessé d’augmenter », a déclaré Markus Rex. « La situation est compliquée pour les entreprises opérant à travers les frontières nationales parce que les lois sont différentes - du moins pour l'instant - et l'environnement juridique évolue rapidement », a déclaré pour sa part Roger Kay, analyste principal chez Endpoint Technologies Associates. De façon générale, si une entreprise est responsable de son propre espace de stockage, elle peut mettre en place des « dépôts » dans chaque pays en fonction des exigences légales de chacun », a expliqué Roger Kay. « Bien sûr, cela coûte plus cher qu’un datacenter unique affecté à toute une région », a-t-il ajouté. « Mais c’est de toutes façons une meilleure pratique pour distribuer les données à d’autres datacenters, pour la redondance, pour l'efficacité de l'accès et pour la reprise après sinistre ». Ajoutant : « Un léger risque persiste si le système comprend des ressources provenant de plusieurs parties, ici, en l’occurrence, les fournisseurs de stockage ou de service de synchronisation et de partage de fichiers ». Plus précisément, « l'interface entre les deux et avec l'entreprise cliente est peut-être un maillon faible exploitable ». Un système entièrement intégré pourrait également fonctionner plus en douceur.

Téléchargé 7 millions de fois cette année

Le logiciel de OwnCloud a été téléchargé 7 millions de fois environ cette année, soit près de deux fois plus que l'an dernier. Aujourd'hui, l’entreprise de Markus Rex revendique plus de 2,5 millions d'utilisateurs. Il existe également une version entreprise qui donne accès à d’autres fonctionnalités comme l'intégration avec SharePoint, le support de la base de données d’Oracle, un pare-feu et une fonction de journalisation avec reporting. Le prix de départ de cette version est de 9000 dollars par an pour 50 utilisateurs. OwnCloud compte environ 250 clients payants répartis de façon équivalente entre l’EMEA et l’Amérique du Nord.

Markus Rex a quelques suggestions à faire aux DSI confrontés à des questions de souveraineté des données. Tout d'abord, il leur suggère de « prendre une décision éclairée, mais aussi, de surveiller leurs arrières et de ne pas laisser l’équipe commerciale amenée à se déplacer un peu partout décider quelles lois appliquer en matière de confidentialité des données ». Ensuite, il pense que « le plus important, c’est l'endroit où sont stockées les clés de chiffrement ». Il donne le conseil suivant : « Cela ne suffit pas de savoir que les fichiers sont chiffrés. Si les clés sont stockées au même endroit que les fichiers, c’est un peu inutile ».